[Linux-bruxelles] faille Apache2 ? ... DOS attack...

[Bruno]

Salut,

Pour commencer, que disent les logs d'apache ?

La prochaine fois que ça arrive, fais un :

netstat -tanpu | grep ":80 " | awk {'print $4'} | sort | uniq -c

Didier MISSON a écrit :
> Bonjour,
> 
> Mon serveur à la maison, actuellement Ubuntu 8.04 (Celeron 1,2 GHz, 1GB 
> DDR2), a pas mal de problèmes depuis une dizaine de jours.
> Régulièrement, il bloque totalement (difficile de prendre des docs !) et 
> je dois faire un reset :-(
> 
> Je pensais avoir résolu le problème en déplaçant 2 sites Drupal vers un 
> autre serveur. 
> J'avais eu des retards de mises à jour (bcp à faire + 2 semaines de 
> vacances...) et je pensais qu'il y avait peut-être un faille Drupal 
> exploitée.
> 
> Comme ça semblait redevenu stable depuis 2 jours, j'ai pensé que le 
> problème venait d'une correction non appliquée en Drupal, alors que le 
> nouveau serveur lui était à jour pour Drupal.
> Il restait sur mon ancien serveur à la maison, mon blog en WordPress
> 
> Mais non :-(
> 
> ça recommence ce matin !
> Donc, sur mon serveur à la maison, Ubuntu 8.04.
> Il reste mon blog en WordPress, et tout d'un coup, il se bloque ! Timeout.
> J'essaye Munin : les pages s'affichent très difficilement, mais pas de 
> stat ! càd déjà 15 minutes où elles ne sont plus mises à jour.
> 
> Je tente un SSH ...  ça semble répondre, mais TRES lentement !
> Je réussis à faire logon.
> J'essaie un htop, hyper long à répondre !
> J'ai le temps de voir une page une fraction de secondes, car j'avais taper 
> "Q" comme il ne répondait pas
> Dans cette page htop, j'ai juste le temps de voir ENORMEMENT de tâche 
> APACHE2 et un load dans les 100 !!!
> Pas eu le temps d'analyser.
> 
> J'ai pu taper (toujours avec des délais de réaction dans les 30 ou 40 
> secondes) un "sudo reboot"
> puis j'ai perdu la session par timeout
> (sans message de reboot...  C'est PuTTY et notre proxy boulot qui a coupé, 
> pas le serveur)
> 
> J'ai finalement récupéré l'accès après environ 20 minutes.
> Il n'a PAS rebooté correctement je pense.
> Comme il était bloqué, j'avais démandé à ma fille, à la maison, de faire 
> le RESET hardware du serveur.
> 
> Maintenant, je vois ceci dans le syslog :
> 
> Jun 23 11:27:54 abrasd03 /USR/SBIN/CRON[26158]: (munin) CMD (if [ -x 
> /usr/bin/munin-cron ]; then /usr/bin/munin-cron; fi)
> Jun 23 11:27:56 abrasd03 /USR/SBIN/CRON[26161]: (root) CMD (if [ -x 
> /etc/munin/plugins/apt_all ]; then /etc/munin/plugins/apt_all update 7200 
> 12
>  >/dev/null; elif [ -x /etc/munin/plugins/apt ]; then 
> /etc/munin/plugins/apt update 7200 12 >/dev/null; fi)
> Jun 23 11:28:09 abrasd03 init: tty4 main process (4100) killed by TERM 
> signal
> Jun 23 11:28:09 abrasd03 init: tty5 main process (4101) killed by TERM 
> signal
> Jun 23 11:28:09 abrasd03 init: tty2 main process (4105) killed by TERM 
> signal
> Jun 23 11:28:09 abrasd03 init: tty3 main process (4106) killed by TERM 
> signal
> Jun 23 11:28:09 abrasd03 init: tty6 main process (4109) killed by TERM 
> signal
> Jun 23 11:28:09 abrasd03 init: tty1 main process (5175) killed by TERM 
> signal
> Jun 23 11:54:20 abrasd03 syslogd 1.5.0#1ubuntu1: restart.
> Jun 23 11:54:20 abrasd03 kernel: Inspecting 
> /boot/System.map-2.6.24-24-server
> Jun 23 11:54:20 abrasd03 kernel: Loaded 28776 symbols from 
> /boot/System.map-2.6.24-24-server.
> Jun 23 11:54:20 abrasd03 kernel: Symbols match kernel version 2.6.24.
> 
> Il semble avoir bien accepté les KILL de la commande "reboot", en tout cas 
> certains...
> et pourtant, il n'a pas continué, pas redémarré puisqu'il ne l'a fait que 
> 24 minutes après quand ma fille a fait "reset"
> :-(
> 
> 
> Maintenant le serveur répond. Munin et le blog sont ok. Load de 0,25
> 
> Vu le nombre de tâche Apache et le load de 100, je pense à une attack DOS 
> de ce type :
> 
> http://www.tux-planet.fr/multiple-http-server-low-bandwidth-denial-of-service/
> 
> C'est peut-être autre chose...
> Une idée à ce sujet ?
> Comment protéger Apache2 ?
> Je pense que des mises à jour vont sortir, mais en attendant... c'est la 
> m... 
> Je ne suis jamais sur de retrouver le serveur on-line dans 10 minutes.